Contract
Dessa Allmänna villkor ska reglera Truckzters och abonnentens rättigheter och skyldigheter vid användning av tjänster och material som tillhandahålls på xxxxxxxxx.xxx
Version: 1 oktober 2022
§ 1 Definitioner
”Avtal”/”Avtalet” avser avtalet för ett basabonnemang med rätt att avropa produkter.
”Basabonnemang” ger abonnenten en icke-exklusiv, tidsbegränsad rätt att använda innehållet på xxxxxxxxx.xxx i egen verksamhet, med undantag för produkterna.
”Anslutningspunkt” avser den eller de punkter där Truckzter ansluter till tjänsten via ett allmänt elektroniskt kommunikationsnät, om inte annat avtalats mellan parterna.
”Allmänna villkor” hänvisar till den senaste versionen av dessa villkor, om inget annat anges.
”Part” avser antingen Truckzter eller abonnenten, gemensamt kallade ”parterna”.
”Produkt” avser varje enskild produkt som erbjuds på xxxxxxxxx.xxx mot en avgift och som kan avropas av en innehavare av ett basabonnemang.
”Produktavtal” definieras i § 2 (2) nedan.
”Tjänsten” avser basabonnemanget samt avropade produkter.
”Truckzter” avser Truckzter AB (organisationsnummer 559024-2060).
”xxxxxxxxx.xxx” avser webbplatsen xxxxxxxxx.xxx och dess innehåll.
”Abonnent” (eng. ”Subscriber”) avser den part som har ingått ett avtal med Truckzter. En abonnent kan inte vara en konsument enligt definitionen i den svenska Konsumenttjänstlagen (1985:716).
”Transportör” avser abonnent som erbjuder transporttjänster på Truckzters marknadsplats.
”Abonnentens uppgifter” avser uppgifter eller annan information eller dokumentation som abonnenten laddar upp, lagrar, anpassar eller på annat sätt behandlar inom tjänsten.
§ 2 Licens
Vid tecknandet av avtalet erhåller abonnenten ett basabonnemang.
När abonnenten avropar en produkt på xxxxxxxxx.xxx ger Truckzter abonnenten en icke-exklusiv, icke-överlåtbar, tidsbegränsad användarlicens för den avropade produkten. Ett separat avtal för användning av en avropad produkt benämns ”produktavtal”. Dessa Allmänna villkor ska, i den utsträckning detta är tillämpligt, även gälla för produktavtal.
Ingenting som anges i dessa Allmänna villkor kan frånta eller begränsa abonnentens rättigheter enligt gällande lagstiftning i det land där abonnenten har sitt säte eller hemort.
§ 3 Omfattning
Tjänsten möjliggör för abonnenten att ingå avtal om utförande av transport med transportör. Genom att utifrån angivna villkor erbjuda en transport i Truckzter, som accepterats av en transportör, har abonnenten ingått ett direktavtal med abonnenten om att transportören ska utföra en transport. Sådan avtalad transport ska omfattas av villkor enligt §4.
Först när villkoren för en transport accepterats av abonnent och transportör har ett avtal ingåtts. Fram till ingånget avtal kan abonnenten ta bort erbjudande.
§ 4 Transportvillkor och ansvar
Alla avtalade transporter genomförs enligt Alltrans 2007. Genom att acceptera en transport i Truckzter, har transportören ingått ett direktavtal med abonnenten om att utföra en transport och accepterat de specifika krav som angivits avseende uppdraget.
Transportören förbinder sig att teckna giltig transportöransvarsförsäkring för de transporter som avtalas. Transportören förbinder sig att ha erforderliga yrkestrafiktillstånd samt tillstånd för fordon i yrkesmässig trafik för de transporter som avtalas.
Volymberäkning sker enligt följande villkor för omräkning: 1m3=280 kg, en pallplats (ppl) = 780 kg, 1 flakmeter (flm) = 1950 kg.
§ 5 Tjänstens kvalitet etc.
Truckzter tillhandahåller tjänsten vid anslutningspunkten. Truckzter förbinder sig att tillse att abonnenten har tillgång till tjänsten vid anslutningspunkten och att tjänsten kan användas 24 timmar om dygnet med en tillgänglighet på minst 99,5 % på årsbasis, med undantag av planerade driftstopp för systemunderhåll.
Planerade driftstopp ska under helgerna ske från kl. 00.00 till kl. 24.00 CET och under arbetsdagar från kl. 20.00 till kl. 06.00 CET. Truckzter ska underrätta abonnenten om alla planerade driftstopp senast två veckor före det planerade driftstoppet genom att lägga upp ett meddelande på inloggningssidan på xxxxxxxxx.xxx. Planerade driftstopp för tjänsten kan ske upp till tolv gånger om året och inget planerat driftstopp får överstiga sex timmar.
Oplanerade driftsstopp avser avbrott där tjänsten inte är tillgänglig för abonnenten och som inte har förutsetts och meddelats i förväg av Truckzter. Truckzter ska alltid och utan dröjsmål ha rätt att vidta alla åtgärder som krävs av drifts- eller säkerhetsskäl.
I händelse av ett fel i tjänsten ska Truckzter, om möjligt, åtgärda felet med den skyndsamhet som omständigheterna kräver. Om abonnenten inte kan använda materiella aspekter av tjänsten på grund av ett fel ska abonnenten också ha rätt till en rimlig prissänkning från den tidpunkt då felet anmäldes och under den tid som felet kvarstår. Xxxxxxxxx ska endast vara ansvarigt för fel enligt denna paragraf om abonnenten anmäler felet till Truckzter inom rimlig tid efter att abonnenten upptäckte felet.
Om inte annat anges i avtalet eller ett produktavtal ska Truckzter ansvar för fel och bristande överensstämmelse med
överenskomna servicenivåer inte gälla för fel och brister som uppstått till följd av följande omständigheter:
(a) Omständigheter för vilka abonnenten är ansvarig enligt avtalet eller ett produktavtal.
(b) Omständigheter som ligger utanför Truckzter ansvarsområde avseende tjänsten.
(c) Virus och andra säkerhetsrelaterade attacker, förutsatt att Truckzter har vidtagit försiktighetsåtgärder i enlighet med överenskomna krav eller, om inga sådana krav föreligger, att Truckzter har vidtagit försiktighetsåtgärder på ett professionellt sätt.
§ 6 Abonnentens uppgifter
I avtalsförhållandet mellan abonnenten och Truckzter behåller abonnenten alla rättigheter till sina uppgifter.
Truckzter ska se till att abonnentens uppgifter säkerhetskopieras minst en gång var 24:e timme och att säkerhetskopiorna lagras på ett tryggt och säkert sätt. Truckzter förbinder sig att vidta alla nödvändiga försiktighetsåtgärder för att upprätthålla en hög säkerhetsnivå för att förhindra försök till obehörig åtkomst, genom vilka någon försöker få tillgång till eller ändra, radera eller göra tillägg i abonnentens uppgifter.
Truckzter tar inget ansvar för abonnentens uppgifter. Truckzter och underleverantörer får endast använda abonnentens uppgifter för de ändamål som hör samman med tillhandahållandet av tjänsten, om inte lagen kräver annat. Om brottsbekämpande myndigheter kräver åtkomst till abonnentens uppgifter hänvisar Truckzter dem i första hand till att begära in uppgifterna direkt från abonnenten.
Truckzter har rätt att radera abonnentens uppgifter:
(1) Efter att produktavtalet har löpt ut,
(2) Om abonnenten inte utför betalningar i enlighet med avtalet eller ett produktavtal.
(3) Om Truckzter finner eller har skälig anledning att tro att abonnenten har behandlat information på ett sätt som utgör ett intrång i upphovsrätt eller immateriella rättigheter eller som på annat sätt kan anses vara oansvarigt eller oetiskt.
(4) Om abonnenten på något annat sätt utöver vad som beskrivs i punkt (3) ovan inte följer gällande svensk och/eller internationell lagstiftning avseende information som på ett eller annat sätt har behandlats inom tjänsten eller på xxxxxxxxx.xxx.
Truckzter har rätt att överföra information från xxxxxxxxx.xxx till ett annat datamedium av tekniska skäl. Uppbackad information kan hämtas på abonnentens begäran, vilket i så fall kommer att debiteras enligt gällande prislista eller enligt vad som överenskommits mellan parterna.
§ 7 Sekretess och behandling av personuppgifter
Vardera parten (”den mottagande parten”) förbinder sig, utan tidsbegränsning, att inte utge någon konfidentiell information till tredje part som erhållits från den andra parten (”den uppgiftslämnande parten”). Truckzter förbinder sig att använda konfidentiell information enbart i syfte att tillhandahålla tjänsten. Truckzter förbinder sig vidare att se till att dess anställda och underleverantörer endast får tillgång till konfidentiell information i den utsträckning detta är nödvändigt för att Truckzter eller underleverantören ska kunna fullgöra sina skyldigheter enligt avtalet, produktavtal och tillämplig lagstiftning.
Konfidentiell information avser all information, inklusive abonnentens uppgifter, av antingen teknisk, kommersiell eller annan karaktär, med undantag av:
(1) Information som är allmänt känd eller som blir allmänt känd på annat sätt än genom den mottagande partens
överträdelse av denna sekretessförbindelse.
(2) Information som den mottagande parten kan visa att denne redan kände till innan denna mottogs från den uppgiftslämnande parten.
(3) Information som den mottagande parten erhållit eller kan komma att erhålla från tredje part utan att vara bunden av en sekretessförbindelse gentemot denna tredje part.
(4) Information som den mottagande parten enligt lag är skyldig att förmedla till myndigheter och andra offentliga organ.
I de fall som avses i punkt (3) ovan har den mottagande parten dock inte rätt att avslöja för tredje part att samma uppgifter även har erhållits från den uppgiftslämnande parten. Såvida det inte är förbjudet enligt lag ska den mottagande parten underrätta den uppgiftslämnande parten om varje rättligt bindande begäran att lämna ut konfidentiell information som innehas av den mottagande parten.
Den mottagande parten får inte heller överlämna dokumentation eller information på medier som tillhandahålls av den uppgiftslämnande parten som innehåller eller kan röja konfidentiell information.
Den mottagande parten ska tillse att enskilda personer eller underleverantörer som kan antas komma i kontakt med konfidentiell information är bundna att hålla denna information konfidentiell i samma utsträckning som den mottagande parten är i enlighet med avtalet och produktavtal.
Truckzter kommer att behandla de personuppgifter om abonnenten som är nödvändiga för att Truckzter ska kunna uppfylla sina åtaganden enligt avtalet (t.ex. namn, adress, telefonnummer, befattning etc.). Dessa personuppgifter kommer att behandlas av Truckzter i egenskap av personuppgiftsansvarig i enlighet med Truckzters Integritetspolicy.
Xxxxxxxxx har rätt att ändra identifieringskoder och annan användarrelaterad information om Truckzter finner det nödvändigt av drifts- eller säkerhetsskäl.
Om personuppgifter behandlas inom ramen för tjänsten i enlighet med ett produktavtal, blir abonnenten den personuppgiftsansvarige och Truckzter ett personuppgiftsbiträde för denna behandling. Xxxxxxxxx förbinder sig att endast behandla dessa personuppgifter för abonnentens räkning i enlighet med produktavtalet och Bilaga A till dessa Allmänna villkor (Personuppgiftsbiträdesavtal) om inte annat avtalats skriftligen mellan Truckzter och abonnenten. Bilaga A till dessa Allmänna villkor (Personuppgiftsbiträdesavtal) gäller endast en abonnent som har ingått ett produktavtal med Truckzter om inte annat avtalats skriftligen mellan Truckzter och abonnenten.
§ 8 Abonnentens åtaganden
Abonnenten ansvarar för kommunikationen mellan abonnenten och anslutningspunkten och för att abonnenten innehar den utrustning och programvara som krävs för att använda tjänsten och som anges av Truckzter på xxxxxxxxx.xxx eller på annat skriftligt sätt.
Abonnenten förbinder sig vid sin användning av tjänsten att fullt ut följa gällande svensk och internationell lagstiftning, särskilt vad gäller information som skickas, lagras, kommuniceras eller på annat sätt hanteras inom tjänsten och på xxxxxxxxx.xxx. Abonnenten ska se till att dennes behandling av information inte inkräktar på någon tredje parts rättigheter enligt svensk lag om upphovsrätt till litterära och konstnärliga verk (1960:729) eller andra motsvarande rättsakter enligt nationell lagstiftning. Om abonnenten använder programvara, dokument eller andra verk som abonnenten har fått tillgång till via tjänsten ansvarar abonnenten för att denne har rätt att använda dessa verk.
Abonnenten får inte avslöja sitt användarnamn eller identifieringskod eller på annat sätt göra tjänsten tillgänglig för en tredje part, såvida inte en sådan möjlighet ges för en viss produkt. Abonnenten ansvarar för varje handling som utförs inom tjänsten och på xxxxxxxxx.xxx med användande av abonnentens användarnamn och identifieringskod.
Abonnenten är skyldig att se till att datafiler och annan information som kommuniceras till och inom tjänsten är fria från virus och andra felaktigheter som kan påverka tjänstens funktion eller prestanda. Om abonnentens datafiler eller annan information visar sig störa tjänstens funktion eller prestanda kan Truckzter stänga av abonnenten tills orsaken till störingen har undanröjts.
Abonnenten ansvarar för egen åtkomst till all maskinvara och programvara som krävs för att använda tjänsten.
§ 9 Avgifter och betalningar
Abonnenten ska inte betala någon avgift för basabonnemanget.
Abonnenten ska betala Truckzter för hela den genomförda transporten inklusive en transaktionsavgift enligt aktuell prislista, om inte annat avtalats skriftligen mellan parterna. Sådan transaktionsavgift regleras i systemet genom att dras från det pris som visas för och godkänns av transportören. Truckzter ombesörjer abonnentens betalning till transportören för utförd transport enligt avtal efter avdragen transaktionsavgift.
Betalning sker via faktura eller genom betaltjänst i systemet. Invändningar mot fakturor tas endast i beaktande om de görs av abonnenten senast 10 kalenderdagar från fakturadatum. Betalningsvillkoren är 15 kalenderdagar. Truckzter kan ändra de ovan angivna betalningsvillkoren om abonnentens ekonomiska förhållanden motiverar en sådan ändring.
Dröjsmålsränta debiteras från förfallodagen och ska motsvara den vid tidpunkten gällande referensräntan plus åtta procentenheter. Truckzter har rätt att stänga av en abonnent från tjänsten om abonnenten trots skriftlig betalningspåminnelse underlåter att betala förfallet belopp till Truckzter.
Truckzter har rätt att säga upp avtalet och alla produktavtal med omedelbar verkan om abonnenten upprepade gånger uteblir med betalning eller om betalningen är försenad med mer än 15 dagar vid något tillfälle. Dessutom har Truckzter rätt till ersättning för eventuell skada som Truckzter kan ha åsamkats genom abonnentens dröjsmål.
§ 10 Immateriella rättigheter
Om inget annat anges i dessa Allmänna villkor anses ingenting i avtalet, dessa Allmänna villkor eller annan dokumentation mellan parterna utgöra en överföring av immateriella rättigheter mellan parterna. Truckzter och vissa tredje parter innehar upphovsrätten och alla andra immateriella rättigheter inklusive know-how till all programvara, databaser och andra produkter och verk som abonnenten får tillgång till genom tjänsten, xxxxxxxxx.xxx eller avtalet.
§ 11 Truckzters rätt att stänga av tjänsten
Truckzter har obegränsad rätt att omedelbart stänga av abonnenten från fortsatt användning av tjänsten eller att säga upp avtalet med omedelbar verkan om abonnenten:
(1) inom tjänsten behandlar information på ett sätt som innebär intrång i en annan parts rättigheter i strid med gällande lagstiftning eller som på annat sätt anses vara oetiskt eller omoraliskt, eller
(2) utan tillstånd försöker förstöra, förvanska eller få obehörig tillgång till information inom tjänsten.
Vidare ska Truckzter ha rätt till skadestånd och ersättning för skada inklusive ersättning för förlust av goodwill som orsakats av abonnentens handlingar enligt punkterna (1) och (2).
§ 12 Ansvarsbegränsning
Om en part hindras från att uppfylla sina åtaganden i enlighet med avtalet eller ett produktavtal på grund av en omständighet som parten inte råder över såsom blixtnedslag, arbetskonflikt, brand, naturkatastrof, ändrade myndighetsbestämmelser, myndighetsingripande, fel på nätverk eller enheter utanför våra datacentraler eller fel eller förseningar i tjänster från underleverantörer som uppkommit av någon av ovanstående omständigheter ska detta utgöra befrielsegrund vilket medför framflyttning av tidsramen för tjänstens genomförande samt befrielse från skadestånd och andra eventuella påföljder. Om tjänstens genomförande har blivit avsevärt förhindrat i över två månader på grund av ovanstående omständigheter har en part rätt att säga upp avtalet och alla produktavtal utan ersättningsskyldighet. En part som söker befrielse enligt detta avsnitt ska utan dröjsmål meddela den andra parten.
En part är inte ersättningsskyldig eller på annat sätt ansvarig för indirekta skador som uppstått för den andra parten eller en tredje part på grund av att en part bryter mot avtalet eller ett produktavtal. En parts skadeståndsansvar är begränsat till villkor enligt Alltrans 2007.
§ 13 Ändringar i Allmänna villkor och tjänsten etc.
Truckzter har rätt att göra ändringar på xxxxxxxxx.xxx och i tjänsten i form av uppdateringar. Ändringar som kan genomföras utan olägenhet för abonnenten kan utföras när som helst. Övriga ändringar ska meddelas till abonnenten inom rimlig tid via xxxxxxxxx.xxx eller på annat tydligt sätt för abonnenten.
Truckzter har rätt att ändra dessa Allmänna villkor vid behov, om inte annat avtalats mellan parterna. Abonnenten ska informeras om alla ändringar i de Allmänna villkoren i enlighet med denna § 11, antingen via xxxxxxxxx.xxx eller på annat sätt som är tydligt för abonnenten.
Om ändringen av dessa Allmänna villkor innebär en väsentlig nackdel för abonnenten har abonnenten rätt att säga upp avtalet med verkan från det datum då de ändrade Allmänna villkoren träder i kraft. För att en sådan uppsägning ska vara giltig måste avtalet sägas upp senast vid den tidpunkt då den aktuella ändringen träder i kraft.
Abonnenten får inte överlåta eller upplåta hela eller delar avtalet till annan part utan Truckzters skriftliga medgivande.
Truckzter har rätt att överlåta eller upplåta hela eller delar av sina rättigheter enligt avtalet utan abonnentens medgivande. Truckzter har också rätt att överlåta sina skyldigheter enligt avtalet, antingen till ett annat bolag som Truckzter ingår i eller till en tredje part, utan abonnentens medgivande om inte annat uttryckligen avtalats skriftligen mellan parterna.
§ 14 Avtalstid, uppsägning, etc.
Om inte annat avtalats kan båda parter säga upp avtalet eller ett produktavtal skriftligen med en (1) månads uppsägningstid.
Vardera parten har rätt att säga upp avtalet eller ett produktavtal om:
(a) den andra parten väsentligt har åsidosatt sina förpliktelser enligt avtalet eller ett produktavtal och inte åtgärdar överträdelsen inom 15 dagar efter skriftlig anmodan ställd till denne med hänvisning till denna punkt eller
(b) den andra parten har försatts i konkurs, inleder ackordsförhandlingar, är föremål för en företagsrekonstruktion eller på annat sätt blir betalningsoförmögen.
Truckzter kan säga upp avtalet med 30 dagars varsel om Truckzters avtal med sin huvudleverantör av molntjänster som ligger till grund för tjänsten upphör att gälla.
Den uppsägande parten kan säga upp avtalet eller ett produktavtal med verkan från det datum som anges i uppsägningsmeddelandet, dock senast tre månader efter uppsägningen. Uppsägningen måste vara skriftlig för att vara giltig.
Om inte annat avtalats mellan parterna upphör avtalet och produktavtalen automatiskt att gälla om abonnenten har varit inaktiv i 12 månader. Truckzter raderar all information, inklusive abonnentens uppgifter, senast 6 månader efter avtalets och produktavtalens upphörande. Vad gäller radering av personuppgifter som behandlas av Truckzter i egenskap av personuppgiftsbiträde till abonnenten kommer punkt 14 i Bilaga A (Personuppgiftsbiträdesavtal) istället att gälla om inte annat avtalas skriftligen mellan Truckzter och abonnenten.
§ 15 Tillämplig lag och tvistlösning
Avtalet och dessa Allmänna villkor ska regleras av svensk lag.
Eventuella tvister, meningsskiljaktigheter eller anspråk härrörande från eller i samband med detta avtal eller produktavtal eller angående överträdelse, uppsägning eller ogiltigförklarande av detta avtal ska slutligt avgöras genom skiljeförfarande i enlighet med skiljedomsreglerna för Stockholms Handelskammares Skiljedomsinstitut.
Skiljeförarandet ska äga rum i Stockholm.
Truckzter ska dock alltid ha rätt att driva in förfallna fordringar genom den svenska Kronofogdemyndigheten eller i allmän domstol.
Bilaga A: Personuppgiftsbiträdesavtal (DPA)
This DATA PROCESSING AGREEMENT (”DPA”) is entered into between:
1. Subscriber (as defined in the Agreement), (”Controller”), and
2. Truckzter AB, xxx.xx. 559024-2060, (”Processor”).
The above parties are hereinafter each referred to as a “Party” and jointly as the “Parties”.
1. BACKGROUND
1.1 The Parties have entered into an agreement under which the Controller subscribes to the Service provided by the
Processor (the ”Product Agreement”). This DPA regulates the Controller’s rights
and obligations in its capacity as data controller as well as the Processor’s rights and obligations in its capacity as data processor when the Processor processes personal data on behalf of the Controller under the Agreement.
1.2 This DPA constitutes a part of the Agreement. In case of any discrepancies between the Agreement and this DPA, the wording of the DPA shall prevail.
2. DEFINITIONS
2.1 The ”Service” shall mean the service or services that the Processor shall provide to the Controller under the
Agreement.
2.2 Terms and expressions used in this DPA shall be interpreted in accordance with “Applicable Data Protection Legislation”, unless otherwise stated in this DPA.
2.3 The term ”Applicable Data Protection Legislation” shall for the purpose of this DPA mean any nationally or internationally binding data protection law that applies to the Parties during the term of this DPA including Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing the Directive 95/46/EC, and any amendments made thereto (the “GDPR”).
3. LIST OF APPENDICES
Appendix 1 Specification of data processing Appendix 2 Pre-approved sub-processors Appendix 3 Information security
4. INSTRUCTIONS FOR THE PROCESSING OF PERSONAL DATA
4.1 The Controller undertakes to provide written and complete instructions to the Processor regarding the processing of personal data as set forth in Appendix 1.
4.2 The Processor, and any person authorised to perform work on its behalf, undertake to only process personal data in accordance with the written instructions provided to the Processor by the Controller, unless other processing is required by applicable Swedish law or any applicable law of a European Union member state. The Controller’s initial instructions to the Processor regarding the subject-matter and duration of the processing, the nature and purpose of the processing, categories of personal data and categories of data subjects as well as technical and organisational security measures are set forth in this DPA and Appendix 1.
4.3 The Controller confirms that the obligations of the Processor as set out in this DPA, including Appendix 1, constitute the complet instructions for the Processor to comply with. All amendments to the Controller’s instructions shall be negotiated separately and shall, in order to be valid, be documented in writing and duly signed by both Parties. The Controller is obligated not to, unless agreed between the Parties in writing, let the Processor process other categories of personal data or process personal data regarding other categories of data subjects than those specified in Appendix 1.
5. INFORMATION SECURITY AND CONFIDENTIALITY
5.1 The Processor shall implement appropriate technical and organisational measures to ensure that personal data processed under this DPA is protected against personal data breaches. Furthermore, the Processor shall fulfil its legal obligations regarding information security under Applicable Data Protection Legislation. The technical and organisational measures implemented by the Processor in accordance with this Section 5.1 are set out in Appendix 3.
5.2 The Processor is obligated to ensure that only personnel that directly require access to personal data in order to fulfil the Processor’s obligations under this DPA have access to such personal data. The Processor shall ensure that such personnel are bound by an adequate confidentiality agreement.
6. SUB-PROCESSORS AND TRANSFERS TO THIRD COUNTRIES
6.1 The Controller confirms that the Processor may engage sub-processors located inside and outside of the EU/EEA and transfer personal data outside of the EU/EEA. The Processor shall ensure that all approved sub-processors are bound by written agreements that require them to comply with the same data processing obligations as those contained in this DPA. In the event that an approved sub-processor fails to fulfil its obligations under such written
agreement, the Processor shall remain fully liable to the Controller for the performance of the sub-processor’s obligations.
6.2 The Controller confirms that the personal data may be processed by the sub-processors specified in Appendix 2.
6.3 If the Processor intends to engage a new, or replace a current, sub-processor to process personal data covered by this DPA, the Processor shall, prior to such engagement, inform the Controller thereof and let the Controller object to the engagement. Such objections shall be made by the Controller in writing without undue delay as from the time the Controller receives the information. The Processor shall provide the Controller with any information reasonably requested by the Controller to enable the Controller to assess whether the use of the proposed sub-processor will ensure the Controller’s compliance with this DPA and Applicable Data Protection Legislation. If compliance, in the Controller’s legitimate opinion, will not be ensured through the engagement of the proposed sub-processor and the Processor, despite the objections of the Controller, wants to engage the proposed sub-processor, the Controller shall have the right to terminate the Agreement without any additional costs. If the objection is not legitimate, the Controller shall not have the right to terminate the Agreement.
6.4 If personal data is transferred to, or made accessible from, a location outside of the EU/EEA, the Processor shall ensure that there is a legal ground under Applicable Data Protection Legislation for such transfer, such as the EU model clauses adopted by the EU Commission. The Controller mandates the Processor to enter into the EU model clauses with sub-processors on the Controller’s behalf.
6.5 If the Processor intends to transfer personal data to a sub-processor with the Privacy Shield as legal basis for such transfer (or any legal framework that may replace the Privacy Shield), the Processor shall conduct controls to ensure that the sub-processor has acceded to the Privacy Shield prior to transferring the personal data to such sub-processor.
7. DISCLOSURE OF PERSONAL DATA AND CONTACTS WITH AUTHORITIES
7.1 With the exception of what follows from Section 6 above the Processor shall not, without the Controller’s prior written consent thereto, disclose or otherwise make personal data processed under this DPA available to any third party, unless otherwise is required by applicable Swedish law or any applicable law of a European Union member state.
7.2 If a data subject requests information from the Processor regarding the processing of personal data under this DPA, the Processor shall refer such request to the Controller without delay.
7.3 The Processor shall without delay inform the Controller of any contact with the supervisory authority or any other third party that relates, or can be relevant to, the Processor’s processing of personal data under this DPA. The Processor may not in any way act on behalf of, or as a representative of, the Controller.
7.4 In the event that the Processor according to applicable Swedish law or any applicable law of a European Union member state is required to disclose personal data that the Processor processes on behalf of the Controller under this DPA, the Processor is obligated to immediately and prior to the disclosure inform the Controller thereof, unless otherwise follows from such legislation, and in conjunction with the disclosure of the requested information, request that the information shall be processed with confidentiality.
8. DATA BREACH NOTIFICATIONS
8.1 The Processor shall without undue delay inform the Controller after becoming aware of any personal data breach.
8.2 Such notification shall, taken into account the nature of the processing and information available to the Processor, at least:
a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;
b) include contact details of the Processor where more information can be obtained;
c) describe the likely consequences of the personal data breach; and
d) describe the measures taken, or proposed to be taken, to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.
8.3 Where, and in so far as, it is not possible to provide the information referred to under Section 8.2 above at the same time, the information may be provided in phases without undue further delay.
9. OBLIGATION TO ASSIST THE CONTROLLER
9.1 The Processor shall assist the Controller in ensuring compliance with the Controller’s obligations under
Applicable Data Protection Legislation. The Processor shall thereby:
a) taking into account the nature of the processing, assist the Controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the Controller’s obligation to respond to requests for exercising the data subject’s rights as laid down in Chapter 3 of the GDPR;
b) assist the Controller in ensuring compliance with the Controller’s obligations to implement appropriate technical and organisational measures to protect the personal data to ensure a level of security appropriate to the risk;
c) in accordance with Section 8 above assist the Controller with the information, assistance and resources reasonably requested by the Controller to fulfil the Controller’s obligation to notify the supervisory authority of any personal data breach;
d) assist the Controller in fulfilling the Controller’s obligation to communicate personal data breaches that are likely to result in a high risk to the rights and freedoms of natural persons to the data subjects in accordance with Applicable Data Protection Legislation;
e) assist the Controller in fulfilling the Controller’s obligation to carry out data protection impact assessments where the processing under this DPA is likely to result in a high risk to the rights and freedoms of natural persons; and
f) assist the Controller in fulfilling the Controller’s obligation to consult the supervisory authority prior to any such processing where a data protection impact assessment indicates that the processing would result in a high risk in the absence of measures taken by the Controller to mitigate the risk.
9.2 When the Processor assists the Controller in fulfilling the Controller’s obligations under Applicable Data Protection Legislation according to Sections 9.1 b)-f ) above, the nature of processing and the information available to the processor shall be taken into account.
10. AUDIT RIGHTS
10.1 The Controller shall be entitled to take measures necessary, including on-site inspections, to verify that the Processor is able to comply with its obligations under this DPA and that the Processor has in fact taken the measures to ensure such compliance.
10.2 The Processor undertakes to make available to the Controller all information that is necessary to demonstrate compliance with the obligations stipulated in this DPA and enable and contribute to audits, including on-site inspections, conducted by the Controller or an auditor appointed by the Controller, provided that the individuals performing the audit enter into adequate confidentiality agreements.
10.3 In the event that an audit according to this Section 10 shows that the Processor has failed to fulfil any of its obligations according to this DPA or Applicable Data Protection Legislation, the Processor shall without undue delay remedy the deficiency.
11. COMPENSATION
The Processor shall be entitled to compensation for the performance of the work required to comply with the Processor’s obligations under Sections 7, 9, 10 and 14 of this DPA in accordance with the Processor’s list of rates that applies from time to time.
12. LIABILITY
12.1 If the supervisory authority, data subjects or any other third party directs claims for damages, including administrative fines, toward the Processor because the Controller, contrary to Section 4.1 above, has failed to provide the Processor with complete written instructions for the processing, the Controller shall indemnify and hold Processor harmless from and against any liabilities connected to the Controller’s incomplete instructions for the processing under this DPA.
12.2 The limitations of liability set forth in Section 10 of the Agreement shall apply to the Processor’s liability under this DPA. The limitations of liability set forth in Section 10 of the Agreement shall not apply to the Controller’s liability under Section 12.1 above.
13. TERM OF AGREEMENT
The provisions of this DPA shall apply for as long as the Processor processes personal data under this DPA for which the Controller is data controller.
14. MEASURES UPON COMPLETION OF PROCESSING OF PERSONAL DATA
14.1 Upon expiration of the Agreement, the Processor shall at the Controller’s request and at the choice of the Controller, delete or return all personal data, including all copies thereof, that has been processed under this DPA to the Controller or to the entity indicated by the Controller within ninety (90) days after the expiration of the Agreement, unless the Processor is required to process the personal data under applicable Swedish law or any applicable law of a European Union member state.
14.2 Upon the Controller’s request, the Processor shall provide a written confirmation of the measures that the Processor has taken regarding the personal data following the termination of the processing as set out in Section 14.1 above.
15. AMENDMENTS TO THIS DPA
All amendments to this DPA shall be in writing and duly signed by both Parties in order to be valid.
16. GOVERNING LAW AND DISPUTE RESOLUTION
16.1 This DPA shall be governed by, and construed in accordance with, Section 13 of the Agreement.
16.2 Any dispute, controversy or claim arising out of or in connection with this DPA, or the breach, termination or invalidity thereof, shall be finally settled in accordance with Section 13 of the Agreement.
Appendix 1: Specification of data processing
Purposes: Fulfil the Processor’s obligations according to the Agreement and this DPA.
Categories of personal data
• Contact details, such as names, addresses, e-mail addresses and phone numbers; and
• Data regarding employment, such as employers and job titles;
Categories of data subjects
• Employees of the Controller;
• Employees of the Controller’s suppliers and partners;
Processing activities
• Storage of personal data and all other processing activities that follow from the Agreement and this DPA.
Location of Processing activities
• Within EU
Information security
• The technical and organisational measures that are set forth in the Agreement and this DPA (including Appendix 3).
Appendix 2: Pre-approved sup-processors NAME
Microsoft AB including the sub-processors of Microsoft AB listed in xxxxx://xxx.xxxxxxxxx.xxx/xx- us/trustcenter/privacy/who-can-access- your-data-and-on-what-terms.
LOCATION OF THE PROCESSING (COUNTRY)
EU and the additional locations outside the EU listed in the link to above.
Appendix 3: Information security DATA CENTRAL
Truckzter uses Microsoft Azure as solution provider for our data processing needs as well as for data storage. The contract and solution are load based and scalable. Microsoft Azure is certified for ISO 27001 (Information Security Management) and ISO 27018 (Code of Practice for Protecting Personal Data in the Cloud). For more information see xxxxx://xxxxx.xxxxxxxxx.xxx.
SECRECY AND DATA LOGS
There is an internal policy for customer secrecy that Truckzter support agents follow. For example, a customer or user password is never communicated over the phone. Instead it is sent via e-mail to the address registered on the user account. The Truckzter Support agents will not add participants or change participants’ access rights in a project without written approval from the project administrator. No information about ongoing projects and connected participants will be given out by the Support agents without written approval from the project administrator. All logins to Truckzter are logged and can be traced if deemed necessary. Document upload and removal is also logged and can be traced when needed. Four persons at Truckzter AB can access the Truckzter servers to perform system maintenance and secure availability and functionality in the Truckzter system.
COMMUNICATION
All communication to and from Xxxxxxxxx.xxx’s servers is done by encrypted https traffic, where 256 bit SSL is used for the encryption. Calls to the servers are logged and can be traced if needed.